알림
Windows 버전 1803 이상의 경우 사용 중인 플랫폼에서 새 커널 DMA 보호 기능을 지원하면 이 기능을 활용하여 Thunderbolt DMA 공격을 완화하는 것이 좋습니다. 새 커널 DMA 보호 기능이 없는 이전 버전 Windows 또는 플랫폼의 경우 조직에서 TPM 전용 보호기를 허용하거나 절전 모드의 컴퓨터를 지원하면 다음 DMA 완화 옵션을 선택합니다. 완화 조치의 범위를 살펴보려면 BitLocker 대책을 참조하세요.
Microsoft Windows 10 운영 체제의 Intel Thunderbolt 3와 보완 설명서에서 대체 완화 조치를 참조할 수도 있습니다.
Microsoft에서는 기술 지원을 얻는 데 도움이 되도록 타사 연락처 정보를 제공해 드립니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 타사 연락처 정보의 정확성을 보증하지 않습니다.
이렇게 하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.
증상
BitLocker 보호 컴퓨터는 전원이 켜져 있거나 대기 전원 상태일 때 DMA(직접 메모리 액세스) 공격에 취약할 수 있습니다. 데스크톱이 잠겨 있을 때도 마찬가지입니다.
TPM 전용 인증이 있는 BitLocker는 부팅 전 인증 과정 없이 컴퓨터가 전원 켜짐 상태가 될 수 있도록 합니다. 따라서 공격자는 DMA 공격을 수행할 수 있게 됩니다.
이러한 구성에서 공격자는 1394 포트에 꽂은 공격 장치를 사용하여 SBP-2 하드웨어 ID를 스푸핑하는 방식으로 시스템 메모리의 BitLocker 암호화 키를 검색할 수 있게 됩니다. 공격은 활성 Thunderbolt 포트를 통해 시스템 메모리에 액세스하는 방식으로도 수행될 수 있습니다. USB 유형 C 커넥터의 Thunderbolt 3에는 포트를 사용하도록 설정한 상태로 이러한 유형의 공격으로부터 보호하도록 구성할 수 있는 새로운 보안 기능이 포함되어 있습니다.
이 문서의 내용은 다음 시스템에 적용됩니다.
-
켜진 채 방치된 시스템
-
대기 전원 상태로 방치된 시스템
-
TPM 전용 BitLocker 보호기를 사용하는 시스템
원인
1394 물리적 DMA
업계 표준의 1394 컨트롤러(OHCI 규격)는 시스템 메모리 액세스를 허용하는 기능을 제공합니다. 이 기능은 성능 개선 차원에서 제공됩니다. 즉, 많은 양의 데이터가 CPU 및 소프트웨어를 우회하여 1394 장치와 시스템 메모리 사이에서 직접 전송될 수 있도록 합니다. 기본적으로 1394 물리적 DMA는 모든 버전의 Windows에서 사용되지 않도록 설정됩니다. 다음옵션을 사용해서 1394 물리적 DMA를 사용하도록 설정할 수 있습니다.
-
관리자가 1394 커널 디버깅을 사용하도록 설정합니다.
-
컴퓨터에 실제 액세스 권한이 있는 사용자가 SBP-2 사양에 맞는 1394 저장소 장치에 연결합니다.
BitLocker에 대한 1394 DMA 위협
BitLocker 시스템 무결성 검사는 허가되지 않은 커널 디버깅 상태 변경 문제를 완화합니다. 하지만 공격자는 공격 장치를 1394 포트에 연결한 후 SBP-2 하드웨어 ID를 스푸핑할 수 있습니다. Windows는 SBP-2 하드웨어 ID를 감지하면 SBP-2 드라이버(sbp2port.sys)를 로드한 후 SBP-2 장치가 DMA를 수행하도록 드라이버에 지시합니다. 이를 통해 공격자는 시스템 메모리에 액세스하고 BitLocker 암호화 키를 검색할 수 있게 됩니다.
Thunderbolt 물리적 DMA
Thunderbolt는 PCI를 통해 시스템 메모리에 직접 액세스하도록 허용하는 외부 버스입니다. 이 기능은 성능 개선 차원에서 제공됩니다. 많은 양의 데이터를 Thunderbolt 장치와 시스템 메모리 간에 직접 전송하기 때문에 CPU와 소프트웨어를 거치지 않습니다.
BitLocker에 대한 Thunderbolt 위협
공격자는 특수 제작된 장치를 Thunderbolt 포트에 연결하여 PCI Express 버스를 통해 메모리에 대한 완전한 직접 액세스가 가능합니다. 이렇게 되면 공격자는 시스템 메모리에 대한 액세스 권한을 가지게 되어 BitLocker 암호화 키를 검색할 수 있습니다. USB 유형 C 커넥터의 Thunderbolt 3에는 이러한 유형의 액세스로부터 보호하도록 구성할 수 있는 새로운 보안 기능이 포함되어 있습니다.
해결 방법
BitLocker의 일부 구성은 이러한 공격 위험을 감소시킬 수 있습니다. TPM + PIN, TPM + USB, TPM + PIN + USB 보호기는 절전(대기) 모드인 컴퓨터에 대한 DMA 공격 효과를 감소시킵니다.
SBP-2 완화책
이전에 언급된 웹 사이트의 "장치 설치에 대한 그룹 정책 설정” 아래에서 "다음 장치 설치 클래스와 일치하는 드라이버 설치 금지” 절을 참조하십시오.
다음은 SBP-2 드라이브에 대한 플러그 앤 플레이 장치 설치 클래스 GUID입니다.
d48179be-ec20-11d1-b6b8-00c04fa372a7
일부 플랫폼의 경우 1394 장치를 완전히 사용하지 않도록 설정하면 추가적인 보안 효과를 얻을 수 있습니다. 이전에 언급된 웹 사이트의 "장치 설치에 대한 그룹 정책 설정” 아래에서 "다음 장치 ID와 일치하는 장치 설치 금지” 절을 참조하세요.
다음은 1394 컨트롤러에 대한 플러그 앤 플레이 호환 ID입니다.
PCI\CC_0C0010
Thunderbolt 완화책
Windows 10 버전 1803부터는 최신 Intel 기반 시스템에 Thunderbolt 3에 대한 커널 DMA 보호 기능이 기본 제공됩니다. 이 보호 기능을 사용하기 위해 구성 작업을 수행할 필요는 없습니다.
Thunderbolt 3에 대한 커널 DMA 보호 기능이 없는 이전 버전의 Windows 또는 플랫폼을 실행하는 장치에서 Thunderbolt 컨트롤러를 차단하려면 이전에 언급된 웹 사이트의 "장치 설치에 대한 그룹 정책 설정” 아래에서 "다음 장치 ID와 일치하는 장치 설치 금지” 절을 참조하세요.
다음은 Thunderbolt 컨트롤러에 대한 플러그 앤 플레이 호환 ID입니다.
PCI\CC_0C0A
참고
-
이 완화의 단점은 외부 저장 장치를 1394 포트를 사용해 연결할 수 없다는 점과 Thunderbolt 포트에 연결된 모든 PCI Express 장치가 작동하지 않는다는 점입니다.
-
사용 중인 하드웨어가 현재 Windows Engineering Guidance와 다를 경우, 컴퓨터 시작 후 Windows가 하드웨어에 대한 제어권을 가지기 전에 이러한 포트에 DMA가 활성화될 수 있습니다. 이럴 경우 시스템이 위태롭게 되며, 이 해결 방법으로는 완화할 수 없습니다.
-
SBP-2 드라이버 및 Thunderbolt 컨트롤러를 차단하는 것으로는 외부 또는 내부 PCI 슬롯(M.2, Cardbus & ExpressCard 포함)에 대한 공격을 막을 수 없습니다.
추가 정보
BitLocker에 대한 DMA 위협에 관련된 자세한 내용은 다음 Microsoft 보안 블로그를 참조하십시오.
Windows BitLocker 클레임 BitLocker에 대한 콜드 공격 완화와 관련된 자세한 정보는 다음 Microsoft 무결성 팀 블로그를 참조하십시오.
이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이러한 제품의 성능 또는 안정성에 대해 묵시적이거나 아니거나 어떠한 보증도 하지 않습니다.
